Instalamos Debsecan.

sudo apt update

sudo apt install debsecan

Ejemplo…

root@sololinux-demo:~# apt install debsecan

Reading package lists... Done

Building dependency tree... Done

The following additional packages will be installed:

  exim4 exim4-base exim4-config exim4-daemon-light guile-2.2-libs iso-codes

  libevent-2.1-6 libfribidi0 libgc1c2 libgnutls-dane0 libgnutls30 libgsasl7

  libkyotocabinet16v5 liblzo2-2 libmailutils5 libntlm0 libpython2.7

  libunbound8 mailutils mailutils-common python-apt python-apt-common

Suggested packages:

  exim4-doc-html | exim4-doc-info eximon4 spf-tools-perl swaks isoquery

  dns-root-data gnutls-bin mailutils-mh mailutils-doc python-apt-dbg

  python-apt-doc

The following NEW packages will be installed:

  debsecan exim4 exim4-base exim4-config exim4-daemon-light guile-2.2-libs

  iso-codes libevent-2.1-6 libfribidi0 libgc1c2 libgnutls-dane0 libgsasl7

  libkyotocabinet16v5 liblzo2-2 libmailutils5 libntlm0 libpython2.7

  libunbound8 mailutils mailutils-common python-apt python-apt-common

The following packages will be upgraded:

  libgnutls30

1 upgraded, 22 newly installed, 0 to remove and 41 not upgraded.

Need to get 16.2 MB of archives.

After this operation, 83.6 MB of additional disk space will be used.

Do you want to continue? [Y/n]

Con el siguiente comando puedes definir la versión instalada. No te olvides que para ejecutar estos comandos debes ser root.

dpkg-reconfigure debsecan

Imagen de ejemplo…

Actualizaciones de seguridad con debsecan

Nos pregunta si queremos que realice un escaneo diariamente y, nos envíe el reporte a un correo electrónico. Estos pasos no son obligatorios, pero si recomendables para un servidor Debian.

Enviar reportes con Debscan

Ahora vemos algunos ejemplos de uso en manual. En el primer caso vemos todas las vulnerabilidades de nuestro sistema, incluyendo una pequeña descripción. No te olvides de insertar tu distribución Debian, en nuestro caso «buster».

debsecan --suite buster

Ejemplo de salida…

root@sololinux-demo:~# debsecan --suite buster

CVE-2020-27350 apt (fixed)

CVE-2020-27350 apt-utils (fixed)

CVE-2020-14342 cifs-utils

CVE-2016-2781 coreutils (low urgency)

CVE-2019-14866 cpio (low urgency)

CVE-2020-8177 curl

CVE-2020-8231 curl

CVE-2020-8284 curl

CVE-2020-8285 curl

CVE-2020-8286 curl

CVE-2019-14855 dirmngr (low urgency)

CVE-2018-12886 gcc-8-base

    ..........................................

            ............................................

Para visualizar más detalles de los paquetes…

debsecan --suite buster --format detail

root@sololinux-demo:~# debsecan --suite buster --format detail

CVE-2020-27350 (fixed)

  APT had several integer overflows and underflows while parsing .deb pa ...

  installed: apt 1.8.2.1

             (built from apt 1.8.2.1)

  fixed in unstable: apt 2.1.13 (source package)

  fixed on branch:   apt 1.4.11 (source package)

  fixed on branch:   apt 1.8.2.2 (source package)

  fix is available for the selected suite (buster)

CVE-2020-27350 (fixed)

  APT had several integer overflows and underflows while parsing .deb pa ...

  installed: apt-utils 1.8.2.1

             (built from apt 1.8.2.1)

  fixed in unstable: apt 2.1.13 (source package)

  fixed on branch:   apt 1.4.11 (source package)

  fixed on branch:   apt 1.8.2.2 (source package)

  fix is available for the selected suite (buster)

CVE-2020-14342

  It was found that cifs-utils' mount.cifs was invoking a shell when req ...

  installed: cifs-utils 2:6.8-2

             (built from cifs-utils 2:6.8-2)

  fixed in unstable: cifs-utils 2:6.11-1 (source package)

CVE-2016-2781 (low urgency)

  chroot in GNU coreutils, when used with --userspec, allows local users ...

  installed: coreutils 8.30-3

             (built from coreutils 8.30-3)

Con la siguiente opción, solo enumeramos las vulnerabilidades de seguridad faltantes.

debsecan --suite buster --only-fixed

Se imprime algo similar a…

root@sololinux-demo:~# debsecan --suite buster --only-fixed

CVE-2020-27350 apt (fixed)

CVE-2020-27350 apt-utils (fixed)

CVE-2020-25692 ldap-utils (fixed)

CVE-2020-25709 ldap-utils (fixed)

CVE-2020-25710 ldap-utils (fixed)

CVE-2020-27350 libapt-inst2.0 (fixed)

CVE-2020-27350 libapt-pkg5.0 (fixed)

CVE-2020-12049 libdbus-1-3 (fixed)

CVE-2020-15999 libfreetype6 (fixed)

CVE-2020-28196 libgssapi-krb5-2 (fixed)

           ...................................

                  .....................................

Identificamos los paquetes que se verán afectados.

debsecan --suite buster --only-fixed --format packages

Actualizaciones de seguridad Paquetes afectados

Con el siguiente comando, actualizamos nuestro sistema, sin olvidarnos de introducir nuestra versión (en nuestro caso buster).

sudo apt install $(debsecan --suite buster --only-fixed --format packages)

Debsecan Actualizaciones de seguridad en Debian 10 Buster

Puedes visualizar su completo manual en el sitio oficial de Debian o, con este comando en terminal linux.

man debsecan

Si saltaste el paso de enviar reportes por mail, aún estas a tiempo.

debsecan --suite buster --format report --mailto root --update-history

Es evidente que también admite tareas cron, revisa el manual oficial de cron con debsecan. Es muy fácil.